現在、Apigee Edge のドキュメントを表示しています。
Apigee X のドキュメントをご確認ください。 情報
このチュートリアルでは、現在のセキュリティの脆弱性と潜在的なセキュリティの脆弱性について詳しく説明します。このトピックでは、ユーザー インターフェースに表示されるレポートについて説明し、API プロキシのセキュリティについて考える方法を提供します。
組織管理者と読み取り専用組織管理者のみが Edge UI でこれらのレポートにアクセスできます。
Advanced API Ops で使用可能なレポート
このページでは、Edge for Cloud Enterprise のすべてのお客様に提供されるレポートや、Advanced API Ops のお客様のみに提供されるレポートなど、セキュリティ レポートの使用方法について説明します。Advanced API Ops を購入していない Edge for Cloud Enterprise のお客様は、以下で説明する一部のレポートにアクセスできません。
すべての Enterprise ユーザーと、Advanced API Ops ユーザーのみが利用可能なレポートの一覧については、セキュリティ レポートの概要をご覧ください。
ランタイム アクティビティと構成のスナップショットを取得する
[概要] ページを使用して、機密情報になり得るオペレーションなど、構成とランタイム トラフィックのセキュリティ スナップショットを取得できます。大量のアクティビティ(特に、潜在的なセキュリティの脆弱性があるアクティビティ)を示すことで、構成とトラフィックに関する詳細なデータを調べることができます。
ランタイム アクティビティを表示するには:
サイド ナビゲーション メニューで、[分析] > [セキュリティ レポート] > [概要] をクリックします。
右上の期間のプルダウンをクリックし、データを表示する前の期間を選択します。
[ノースバウンド トラフィック] グラフには、組織内の環境ごとに API プロキシへの受信リクエストに関する情報が表示されます。
受信トラフィックを詳しく調べるには、[ランタイム レポート] をクリックして、[ランタイム] ページで詳細データを表示します(後述)。
[ノースバウンド トラフィック] グラフの下に、リージョン別のトラフィック(複数のリージョンがある場合のみ)、障害コード別のエラー分布、機密性が高い可能性のあるオペレーション別のユーザー数(組織管理者のみ)を示すグラフが表示されます。
この画像では、メールアドレスが意図的に隠されています。機密性の高いオペレーションの説明については、後述の機密性の高いオペレーションについてをご覧ください。
今見ているものについて質問する
[概要] ページに表示される概要は、システムのセキュリティに関連する顕著な特徴を把握するのに役立ちます。これを踏まえて、以下の質問を自分に問いかけてみてください。
- リクエストの割合は予想を上回っていますか?それらのリクエストを取得している API プロキシを詳しく調べる必要があるでしょうか。
- 各地域のトラフィックの割合は正しいですか?いずれかのリージョンが過負荷状態になっていないか
- 多数の障害コードが表示されていますか?発生場所
- (組織管理者のみ)最も機密性の高いオペレーションを呼び出しているユーザー
ランタイム トラフィックの詳細を取得する
[ランタイム] ページでは、ランタイム トラフィックの詳細を表示し、現在のセキュリティの脆弱性を特定します。たとえば、次のことができます。
- プロキシとターゲットに送信される HTTPS 以外のトラフィックの量を特定します。
- そのトラフィックを処理するデベロッパー アプリと仮想ホストの詳細を表示します。
- 障害コード別にエラー数を表示します。
ランタイム トラフィックの詳細を表示するには:
- サイド ナビゲーション メニューで、[Analyze] > [セキュリティ レポート] > [ランタイム] をクリックします。
- 表示するデータの範囲を設定するには、ページの上部で、データを表示する環境、リージョン、期間を選択します。
- 環境のプルダウンの横にあるプルダウンが [Proxies] になっていることを確認し、[Targets] などの値ではなく、後述します。その値は [Any] のままにします。
表には、設定したスコープ内の API プロキシと、その期間の合計トラフィックが一覧表示されます。特に、HTTPS 以外のトラフィックを示す列に注目してください。これは、リストにあるプロキシに送信されたリクエストのうち、HTTPS ではなく HTTPS 以外で受信されるリクエストを表します。これはセキュリティの脆弱性です。
テーブルの行をクリックすると、プロキシの詳細が表示されます。合計トラフィック グラフと同様に、[ノースバウンド トラフィック] グラフのバーにカーソルを合わせると、基盤となるデータが表示されます。
ページの上部にある [Proxies] プルダウンをクリックし、[Targets] をクリックします。
この表には、プロキシ ターゲットに関する表と同様の情報が一覧表示されます。
テーブルの行をクリックすると、ターゲットの詳細が表示されます。
ページの上部にある [ターゲット] プルダウンをクリックし、[アプリ] をクリックしてアプリに関する情報を表示します。
ページの上部にある [アプリ] プルダウンをクリックし、[障害コード] をクリックして、障害コードに関する情報を表示します。
今見ているものについて質問する
[ランタイム] ページには、現在のトラフィック コンテキスト(クライアントからのリクエスト、ターゲットへのリクエスト)でのプロキシの動作が表示されます。以下に示されている内容を参考に、プロキシが正常に動作しているかどうかを考えてみてください。
- HTTPS 以外のトラフィックを受信している各プロキシの詳細を確認します。トラフィックの部分は、そのプロキシに適していると考えられますか。HTTPS 経由でリクエストを受信するようにプロキシを再構成する必要はありますか?
- 履歴の増減など、さまざまな範囲でデータを確認します。対応したいと考えているトレンドはありますか?
- プロキシからターゲットへのトラフィックが大幅に増加していないか。そのトラフィックはトラフィック管理ポリシーによってメディエーションされるべきでしょうか。
構成の詳細を取得する
セキュリティの観点から構成の詳細を確認することで、プロキシの構成方法を変更することでセキュリティを強化できる場所を特定できます。[Configuration] ページでは、Apigee Edge で利用可能なツールをプロキシとターゲットがどのように使用するかの詳細が表示されます。
構成の詳細を表示するには:
- サイド ナビゲーション メニューで、[Analyze] > [Security Reporting] > [Configuration] メニュー項目をクリックします。
- 表示するデータの範囲を設定するには、ページの上部で、データを表示する環境を選択します。
- 環境のプルダウンの横にあるプルダウンが [Targets] などの値ではなく [Proxies] になっていることを確認し、値を [Any] のままにします。
- プロキシごとに、テーブルには次の情報が含まれます。
- セキュリティ関連のポリシー グループから使用されているポリシーの数。ポリシー グループは、トラフィック管理、セキュリティ、拡張機能です。グループの詳細については、ポリシー リファレンスの概要をご覧ください。
- プロキシで使用される共有フローの数(存在する場合)。
- プロキシの仮想ホストが HTTPS 以外のリクエスト、HTTPS リクエスト、またはその両方を受信するように設定されているかどうか。
テーブルの行をクリックすると、プロキシの構成の詳細が表示されます。
選択したプロキシに共有フローが含まれている場合は、UI の右側にある [Shared Flows] をクリックすると、このプロキシによって呼び出される共有フローで構成されているセキュリティ関連ポリシーのリストが表示されます。
ページの上部にある [Proxies] プルダウンをクリックし、[Targets] をクリックします。
このテーブルは、ターゲットに到達したのが HTTPS 以外の呼び出しか HTTPS でないかを示しています。
ページの上部にある [ターゲット] プルダウンをクリックし、[共有フロー] をクリックして、次のような共有フローに関する情報を表示します。
- セキュリティ関連のポリシー グループから使用されているポリシーの数。
- 各共有フローを使用するプロキシの数。
今見ているものについて質問する
[ランタイム] ページでは、ランタイム条件でのプロキシの動作を確認できます。[構成] ページでは、それらの条件を処理するためのプロキシの構成を確認できます。レポートを確認する際は、各プロキシを詳しく調べます。
- プロキシに適切なセキュリティ ポリシーが含まれているかセキュリティに関して、すべてのプロキシを同じように構成する必要はありません。たとえば、負荷の高いリクエストを受信するプロキシや、リクエスト量が大幅に変動するプロキシには、SpikeArrest ポリシーなどのトラフィック制御ポリシーを構成する必要があります。
- 共有フローの使用量が少ない場合、それはなぜですか。共有フローは、再利用可能なセキュリティ関連機能を作成するための便利な方法です。共有フローの詳細については、再利用可能な共有フローをご覧ください。
- フローフックに接続された共有フローを使用していますか。セキュリティ関連のポリシーを含む共有フローをフローフックに接続すると、環境内のプロキシ間でセキュリティ機能を適用できます。フローフックの詳細については、フローフックを使用した共有フローの接続をご覧ください。
- プロキシに HTTPS 以外の仮想ホストを許可する必要はありますか?
ユーザー アクティビティの詳細を取得する
セキュリティのモニタリングの一環として、ユーザーが実行する可能性のある機密性のある操作に注意してください。[ユーザー アクティビティ] ページには、ユーザーが実行した機密情報に関する操作の数が表示されます。機密性の高いオペレーションの説明については、後述の機密性の高いオペレーションについてをご覧ください。
[ユーザー アクティビティ] ページにアクセスできるのは、高度な API オペレーションを購入した組織管理者のみです。このページには、読み取り専用組織管理者など、他のロールからアクセスできません
ユーザー アクティビティを表示するには:
- サイド ナビゲーション メニューで、[Analyze] > [Security Reporting] > [User Activity] メニュー項目をクリックします。
- 日付ボックスをクリックして期間を設定します。
表には、組織内の各ユーザーについて次のものが表示されます(メールアドレスは意図的に隠されています)。
- ログインの回数。
- ユーザーが UI または API を使用して実行した機密性の高い操作の回数。
- 選択した期間のアクティビティの変化。
- ユーザーが実行した、機密とみなされるすべての操作の割合。
表の行をクリックすると、ユーザーのアクティビティに関する詳細情報が表示されます。
機密性の高い操作について
[概要] ページと [ユーザー アクティビティ] ページの両方に、ユーザーが行った機密性の高い操作に関する情報が表示されます。機密性の高いオペレーションとは、次の API パターンに対して GET/PUT/POST/DELETE アクションを実行する、UI または API のオペレーションです。
| ユースケース | リクエスト URI パターン |
|---|---|
| デベロッパーへのアクセス | /v1/organizations/org_name/developers* |
| アプリへのアクセス | /v1/organizations/org_name/apps* |
| カスタム レポートへのアクセス | /v1/organizations/org_name/environments/env_name/stats* |
| トレース セッションへのアクセス | /v1/organizations/org_name/environments/env_name/apis/proxy/revisions/rev/debugsessions* |
| 仮想ホストへのアクセス | /v1/organizations/org_name/environments/env_name/virtualhosts* |
これらのパターンでは、「*」の文字は任意のリソースパスに対応します。たとえば、URI パターンの場合は次のようになります。
/v1/organizations/org_name/developers*
Edge は、次の URI に対して GET/PUT/POST/DELETE アクションを追跡します。
/v1/organizations/org_name/developers /v1/organizations/org_name/developers/developer_email /v1/organizations/org_name/developersdeveloper_email/attributes/attribute_name
今見ているものについて質問する
[ユーザー アクティビティ] ページでは、組織ユーザーのアクティビティをドリルダウンできます。各ユーザーについて自問できること:
- ユーザーのログイン回数は適切か。
- ユーザーが機密性の高い操作を多数実行しているかこれらは、このユーザーが行う必要がある想定の操作ですか。
- ユーザーのアクティビティは一定の期間に変化しましたか?割合が変わったのはなぜですか?